现场测试ip source bind功能,发现配置后icmp报文没有被拦截
配置:
interface GigabitEthernet1/0/16
port link-mode bridge
port access vlan 100
arp max-learning-num 0
mirroring-group 1 mirroring-port both
ip verify source ip-address mac-address
#
ip source binding ip-address 10.10.10.22 mac-address 8a62-c528-5f46
后尝试在vlan口下进行调用,依然不生效
vlan 100
description GuanLi
ip verify source ip-address mac-address
#
interface Vlan-interface100
ip address 10.10.10.1 255.255.255.0
ip verify source ip-address mac-address
表项是正常的:
查看acl下发情况:
[H3C-probe]debug hardware internal qacl show acl-resc slot 1 c 2
[H3C-probe]debug hardware internal qacl show 1 chip 0 verbose 0 acl-type 36
是下发成功的。
测试方法以及结果:
入方向ACL位于L2、L3流程之后,如果报文经过L2、L3处理被丢弃或通过寄存器上送CPU,则无法命中ACL。
Ping报文是通过寄存器上送CPU,无法被IPSG的deny规则无法丢弃该报文,所以能ping通。过路报文是可以正常被IPSG的deny规则过滤的。
======================================================
GroupType: SEC
----------------------------------------------------
acl type usedEntries
[ 36]Ipsg Global 1
[191]Ipsg Default Vlan Intf 1
[187]Ipsg Default Vlan 1
测试过路报文拦截无问题
1、交换机配置的绑定的10.10.10.22 IP+MAC,实际上该接口下连接的主机配置的IP地址是10.10.10.3 ?
2、
interface GigabitEthernet1/0/16 绑定的0.10.10.22的和vlanif100的10.10.10.1是否是同一台交换机?
(0)
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作